Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Kopsavilkums

Servera ziņojumu bloks (SMB) ir tīkla failu koplietošanas un datu auduma protokols. SMB izmanto miljardiem ierīču dažādu operētājsistēmu kopā, tostarp Windows, MacOS, iOS, Linux un Android. Klienti izmanto SMB, lai piekļūtu datiem serveros. Tādējādi tiek atļauta failu koplietošana, centralizēta datu pārvaldība un samazinātas krātuves kapacitātes vajadzības mobilajām ierīcēm. Serveri arī izmanto SMB kā daļu no programmatūras definētā datu centra darba slodzēm, piemēram, sagrupētu un replikācijas.

Tā kā SMB ir attāla failu sistēma, nepieciešama aizsardzība pret uzbrukumiem, kuros Windows dators var tikt apkrāpts ar ļaunprātīgu serveri, kas darbojas uzticamā tīklā vai attālajā serverī ārpus tīkla perimetra. Ugunsmūra paraugprakse un konfigurācija var uzlabot drošību un pasargāt ļaunprātīgu trafiku no datora vai tā tīkla.

Izmaiņu efekts

Bloķējot savienojumu ar SMB, var tikt traucēta dažādu lietojumprogrammu vai pakalpojumu darbība. Windows un Windows serveru lietojumprogrammu un pakalpojumu sarakstu, kas var apturēt darbību šajā situācijā, skatiet sadaļā pakalpojuma pārskats un tīkla porta prasības operētājsistēmai Windows

Papildinformācija

Perimetra ugunsmūra pieejas

Perimetra aparatūra un ierīces ugunsmūri, kas novietoti tīkla malā, bloķē neprasītu saziņu (no interneta) un izejošo trafiku (internetam) uz šādiem portiem.
 

Lietojumprogrammas protokols

Protokola

Ostas

SMB

TCP

445

NetBIOS nosaukumu atrisināšana

UDP

137

NetBIOS datogrammu pakalpojums

UDP

138

NetBIOS sesijas pakalpojums

TCP

139


Maz ticams, ka jebkurš SMB sakars, kas nāk no interneta vai ir paredzēts interneta lietošanai, ir likumīgs. Primārā lieta var būt mākonī izvietotam serverim vai pakalpojumam, piemēram, Azure failiem. Lai atļautu izmantot tikai šos specifiskos galapunktus, jums vajadzētu izveidot jūsu perimetra ugunsmūra IP adrešu ierobežojumus. Organizācijām ir atļauts atļaut portu 445 piekļuvi specifiskiem Azure datu centra un O365 IP diapazoniem, lai iespējotu hibrīdos scenārijus, kuros Lokālie klienti (aiz uzņēmuma ugunsmūra) izmanto SMB portu, lai sarunātos ar Azure failu krātuvi. Atļaut arī tikai SMB 3.x trafiks un nepieciešama SMB AES-128 šifrēšana. Lai iegūtu papildinformāciju, skatiet sadaļu "atsauces".

Piezīme. Tiek pārtraukta SMB transporta lietošana, kas beidzās operētājsistēmā Windows Vista, Windows Server 2008 un visās jaunākās Microsoft operētājsistēmās, kad Microsoft ieviesa SMB 2,02. Taču jūsu vidē, iespējams, ir programmatūra un ierīces, kas nav Windows. SMB1 ir jāatspējo un jānoņem, ja to vēl neesat izdarījis, jo tā joprojām izmanto NetBIOS. Jaunākās Windows Server un Windows versijas vairs neinstalē SMB1 pēc noklusējuma, un tā tiks automātiski noņemta, ja tā ir atļauta.

Windows Defender ugunsmūra pieejas

Visām atbalstītajām Windows un Windows serveru versijām ir iekļauts Windows Defender ugunsmūris (iepriekš nosaukts par Windows Firewall). Šis ugunsmūris nodrošina papildu ierīces aizsardzību, jo īpaši tad, ja ierīces pārvietojas ārpus tīkla vai ja tās darbojas vienā.

Windows Defender ugunsmūrī ir atšķirīgi profili noteiktu veidu tīkliem: domēns, privāts un viesis/publiskais. Viesu/publiskais tīkls pēc noklusējuma parasti iegūst daudz vairāk ierobežojošu iestatījumu nekā uzticamāks domēns vai privātie tīkli. Iespējams, ka šiem tīkliem ir dažādi SMB ierobežojumi, kuru pamatā ir jūsu draudu novērtējums un operatīvās vajadzības.

Ienākošie savienojumi ar datoru

Windows klientiem un serveriem, kas nevieso SMB koplietojumus, varat bloķēt visu ienākošo SMB trafiku, izmantojot Windows Defender ugunsmūri, lai nepieļautu attālo savienojumu izveidi ar ļaunprātīgām vai apdraudētām ierīcēm. Windows Defender ugunsmūrī tas attiecas uz tālāk norādītajām ienākošajām kārtulām.

vārds

Profila

Iespējota

Failu un printeru koplietošana (ienākošais SMB)

Visas

Netlogon pakalpojums (NP)

Visas

Attālā notikumu žurnālu pārvaldība (NP)

Visas

Attālā pakalpojumu pārvaldība (NP)

Visas


Varat arī izveidot jaunu bloķēšanas kārtulu, lai ignorētu citas ienākošā ugunsmūra kārtulas. Izmantojiet tālāk norādītos ieteicamos iestatījumus visiem Windows klientiem vai serveriem, kas nevieso SMB akcijas:

  • Name: Block visi ienākošie SMB 445

  • Apraksts: bloķē visu ienākošo SMB TCP 445 trafiku. Nelietot domēnu kontrolleriem vai datoriem, kas vieso SMB daļas.

  • Darbība: savienojuma bloķēšana

  • Programmas: visas

  • Attālie datori: jebkurš

  • Protokola tips: TCP

  • Lokālā osta: 445

  • Attālais ports: jebkurš

  • Profili: visi

  • Tvērums (LOKĀLĀ IP adrese): jebkurš

  • Tvērums (attālā IP adrese): jebkurš

  • Edge šķērsošana: bloku malu šķērsošana

Jūs nedrīkstat globāli bloķēt ienākošo SMB trafiku uz domēnu kontrolleriem vai failu serveriem. Taču varat ierobežot piekļuvi tiem no uzticamiem IP diapazoniem un ierīcēm, lai pazeminātu to uzbrukuma virsmu. Tiem ir jāattiecas arī uz domēnu vai privātiem ugunsmūra profiliem, neļaujot viesa/publisku trafiku.

Piezīme. Windows ugunsmūris pēc noklusējuma ir bloķējis visas ienākošās SMB saziņas iespējas, jo Windows XP SP2 un Windows Server 2003 SP1. Windows ierīces atļauj ienākošo SMB saziņu tikai tad, ja administrators izveido SMB koplietošanu vai maina ugunsmūra noklusējuma iestatījumus. Neuzticējiet noklusējuma izteiktās pieredzes, lai ierīces būtu novietotas, neatkarīgi no to atrašanās vietas. Vienmēr pārbaudiet un aktīvi Pārvaldiet iestatījumus un to vēlamo stāvokli, izmantojot grupas politiku vai citus pārvaldības rīkus.

Papildinformāciju skatiet rakstā Windows Defender ugunsmūra izveide ar papildu drošības stratēģiju un Windows Defender ugunsmūri ar papildu drošības izvietošanas rokasgrāmatu

Izejošie savienojumi no datora

Windows klientiem un serveriem ir nepieciešami izejošie SMB savienojumi, lai lietotu grupas politiku no domēnu kontrolleriem, kā arī lietotājiem un lietojumprogrammām, lai piekļūtu datiem failu serveros, tāpēc ir jārīkojas, veidojot ugunsmūra kārtulas, lai novērstu ļaunprātīgus sāniskus vai interneta savienojumus. Pēc noklusējuma Windows klientā vai serverī nav izejošu bloku, kas veido savienojumu ar SMB akcijām, tāpēc jums būs jāizveido jaunas bloķēšanas kārtulas.

Varat arī izveidot jaunu bloķēšanas kārtulu, lai ignorētu citas ienākošā ugunsmūra kārtulas. Izmantojiet tālāk norādītos ieteicamos iestatījumus visiem Windows klientiem vai serveriem, kas nevieso SMB koplietojumus.

Viesu/publisks (neuzticams) tīkli

  • Name: Block izejošā viesa/publiskais SMB 445

  • Apraksts: bloķē visu izejošo SMB TCP 445 trafiku, ja ir neuzticams tīkls

  • Darbība: savienojuma bloķēšana

  • Programmas: visas

  • Attālie datori: jebkurš

  • Protokola tips: TCP

  • Lokālā osta: jebkurš

  • Attālais ports: 445

  • Profili: viesis/publiskais

  • Tvērums (LOKĀLĀ IP adrese): jebkurš

  • Tvērums (attālā IP adrese): jebkurš

  • Edge šķērsošana: bloku malu šķērsošana

Piezīme. Nelieli Office un mājas lietošanai Office lietotāji vai mobilie lietotāji, kas strādā ar korporatīvajiem uzticamiem tīkliem un pēc tam izveido savienojumu ar mājas tīkliem, ir jāizmanto piesardzīgi, pirms tie bloķē publisku izejošo tīklu. Tādējādi var tikt liegta piekļuve savām vietējām NAS ierīcēm vai dažiem printeriem.

Privātie/domēna (uzticamie) tīkli

  • Name (nosaukums): atļaut izejošo domēnu/Private SMB 445

  • Apraksts: atļauj izejošo SMB TCP 445 trafiku tikai uz DCs un failu serveriem, ja ir uzticams tīkls

  • Darbība: atļaujiet savienojumu, ja tā ir droša

  • Pielāgotas iestatījumu pielāgošana: Izvēlieties vienu no opcijām, iestatiet ignorēt BLOĶĒŠANAS kārtulas = ieslēgts

  • Programmas: visas

  • Protokola tips: TCP

  • Lokālā osta: jebkurš

  • Attālais ports: 445

  • Profili: privāts/domēns

  • Tvērums (LOKĀLĀ IP adrese): jebkurš

  • Tvērums (attālā IP adrese): <domēna kontrollera un failu servera IP adrešu saraksts>

  • Edge šķērsošana: bloku malu šķērsošana

Piezīme. Varat arī izmantot attālos datorus, nevis tvēruma attālās IP adreses, ja drošinātais savienojums izmanto autentifikāciju, kas nes datora identitāti. Lai iegūtu papildinformāciju par to, ka ir jāatļauj izveidot savienojumu, ja tā ir droša, un attālā datora opcijas pārskatiet Defender ugunsmūra dokumentāciju .

  • Name: Block izejošais domēns/privāts SMB 445

  • Apraksts: bloķē izejošo SMB TCP 445 trafiku. Ignorēšana, izmantojot kārtulu Atļaut izejošā domēna/privāts SMB 445

  • Darbība: savienojuma bloķēšana

  • Programmas: visas

  • Attālie datori: N/A

  • Protokola tips: TCP

  • Lokālā osta: jebkurš

  • Attālais ports: 445

  • Profili: privāts/domēns

  • Tvērums (LOKĀLĀ IP adrese): jebkurš

  • Tvērums (attālā IP adrese): N/A

  • Edge šķērsošana: bloku malu šķērsošana

Jūs nedrīkstat globāli bloķēt izejošo SMB trafiku no datoriem uz domēnu kontrolleriem vai failu serveriem. Taču varat ierobežot piekļuvi tiem no uzticamiem IP diapazoniem un ierīcēm, lai pazeminātu to uzbrukuma virsmu.

Papildinformāciju skatiet rakstā Windows Defender ugunsmūra izveide ar papildu drošības stratēģiju un Windows Defender ugunsmūri ar papildu drošības izvietošanas rokasgrāmatu

Drošības savienojuma kārtulas

Jums ir jāizmanto drošības savienojuma kārtula, lai implementētu izejošā ugunsmūra kārtulu izņēmumus "atļaut savienojumu, ja tas ir drošs" un "atļaut savienojumam izmantot Null iekapsulēšanas" iestatījumus. Ja neiestatāt šo kārtulu visos datoros, kuros darbojas sistēma Windows un Windows Server, autentifikācija neizdosies, un SMB tiks bloķēta Izejoša. 

Piemēram, ir nepieciešami šādi iestatījumi:

  • Kārtulas tips: izolēšana

  • Prasības: pieprasīt autentifikāciju ienākošajiem un izejošajiem savienojumiem

  • Autentifikācijas metode: dators un lietotājs (Kerberos V5)

  • Profils: Domain, Private, Public

  • Name: izdalīšana ESP autentifikācija SMB, kas ignorē

Papildinformāciju par drošības savienojuma kārtulām skatiet šajos rakstos:

Windows darbstaciju un serveru pakalpojums

Patērētājiem vai ļoti izolētiem, pārvaldītiem datoriem, kuros vispār nav nepieciešams SMB, varat atspējot servera vai darbstacijas pakalpojumus. To var izdarīt manuāli, izmantojot "pakalpojumi" papildprogramma (Services. msc) un PowerShell Set-Service cmdlet, vai izmantojot grupas politikas preferences. Apturot un atspējojot šos pakalpojumus, SMB vairs nevar izveidot izejošos savienojumus vai saņemt ienākošos savienojumus.

Jūs nedrīkstat atspējot servera pakalpojumu uz domēnu kontrolleriem vai failu serveriem, vai arī neviens klients vairs nevarēs lietot grupas politiku vai izveidot savienojumu ar saviem datiem. Jūs nedrīkstat atspējot darbstacijas pakalpojumu datoros, kas ir Active Directory domēna dalībnieki, vai tie vairs nelietos grupas politiku.

Atsauces

Windows Defender ugunsmūra izveide ar uzlabotu drošības stratēģiju
Windows Defender ugunsmūris ar uzlabotu drošības izvietošanas rokasgrāmatu
Azure attālās lietojumprogrammas
Azure DATACENTER IP adreses
Microsoft O365 IP adreses

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×